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© Verfahren und Vorrichtung zum Programmieren einer Sicherheitssteuerung 
@ Die vorliegende Erfindung betrifft ein Verfahren zum 

Programmieren einer Sicherheitssteuerung, mit den 

Schritten: 

- Festlegen von logischen Verknupfungen zwischen Einr 
gangssignalen der Sicherheitssteuerung und 

- Zuordnen von Verknupfungsprodukten (M4, M5) zu Aus- 
gangssignalen der Sicherheitssteuerung. 
Dabei erfotgt das Festlegen der verknupfungen. und das 
Zuordnen anhand vordefinierter funktionsspezifischer 
Programmodule (62-72, 76-80), die aus einer Menge (60) 
derartiger Program module ausgewahlt werden. Die Erfin- 
dung ist dadurch gekennzeichnet, daS jedes ausgewahlte 
Programmodul (76, 78, 70) eindeutig einer definierten 
Funktionsgruppe (54, 56, 58) zugeordnet wird, wobel eine 
erste Funktionsgruppe (54) Programmodule (76) enthalt, 
die Eingangssignale der Sicherheitssteuerung aufneh- 
men und in Abhangigkeit davon erste ZwischengroBeh. 
(Ml, M2, M3) bereitstellen, wobei eine zweite Funktions- 
gruppe (56) Programmodule (78) enthalt, die die ersten 
ZwischengroSen (M1, M2, M3) logisch miteinander ver- 

. knupfen und in Abhangigkeit davon zweite Zwischengro- 
Ben (M4, M5) bereitstellen, und wobei eine dritte Funkti- 
onsgruppe (58) Programmodule (80) enthalt, die die zwei- 
tert ZwischengroBen (M4, M5) den Ausgangssignalen der 
Sicherheitssteuerung zuordnen. Die Erfindung betrifft fer- 
ner eine entsprechende Vorrichtung sowie entsprechen- 
de < Compute rprog ram me. 
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Beschreibung 

[0001] Die vorliegende Erfindung betriffl ein Verfahren zum Programmieren einer Sicherheitssteuerung, mit den 
Schritten: . '". ' 

; • 5. • ' ". . ' • • .'■.'/' . ■ 

- Fesdegen von logischen Verknupfungen zwischen Eingangssignalen der Sicherheitssteuerung und 
' - Zuordnen von Verknupfungsprodukten zu Ausgangssignalen der Sicherheitssteuerung, 

wobei das Festlegen der Verknupfungen und das Zuordnen anhand vordefinierter funktiqnsspezifischer Programmodule 

10 erfolgt, die aus einer Menge derartiger Programmodule ausgewahit werden. 

[0002] Die Erfindung betriffl des weiteren eine Vorrichtung zum Programmieren einer Sicherheitssteuerung, mit ersten 
Mitteln zum Auswahlen und Parametrieren vordefinierter funktionsspezifischer Programmodule, mit deren Hilfe logi- 
sche Verknupfungen zwischen Eingangssignalen der Sicherheitssteuerung festgelegt und Verkntipfurigsprodukte zu Aus- 
gangssignalen der Sicherheitssteuerung zugeordnet werden konnen. 
,15 [0003] Ein Verfahren und eine Vorrichtung der genahnten Art sind aus der WO 98/44399 bekannt 

[0004] Eine Sicherheitssteuerung im Sinne der vorliegenden Erfindung ist ein Gerat oder eine \fcrrichtung, das bzw. 
die von Sensoren gelieferte Eingangssignale aufhimmt und daraus durch logische Verknupfungen und unter Umstandeh 
weitere Signal- cider Datenverarbeitungsschritte Ausgangssignale erzeugt Die Ausgangssignale konnen dann Aktuato- 
ren zugefuhrt werden, die dann in Abhangigkeit von den Eingangssignalen gezielte Aktionen oder Reaktionen in der 

20 Umgebung bewirken. Ein beyorzugtes Anwendungsgebiet fur derartige Sicherheitssteuerungen ist im Bereich der Ma- 
schinensicherheit die Oberwachung von Not-Aus-Tastern, Zwei-Hand-Steuerungen, Schutztiiren oder Lichtgittern. Der- 
artige Sensoren werden verwendet, um beispielsweise eine Maschine, von der im Betrieb eine Gefahr fur Menschep oder 
materielle Giiter ausgeht, abzusichem. Beim Offhen der Schutztiir oder beim Betatigen des Not-Aus-Tasters wird jeweils 
ein Signal erzeugt, das der Sicherheitssteuerung als Eingangssignal zugefiihrt ist In Reaktion darauf schaltet die Sicher- 

25 heitssteuerung dann beispielsweise mit Hilfe eines Aktuators den gefahrbringenden Teil der Maschine ab. 

[0005] Charakteristisch an einer Sicherheitssteuerung ist im Gegensatz zu einer "normalen" Steuerung, daB die Sicher- 
heitssteuerung selbst dann, wenn bei ihr oder einem mit ihr verbundenen Gerat eine Fehlfunktiori auftritt, stets einen si- 
cheren Zustand der gefahrbringenden Anlage oder Maschine gewahrleisten mu8. Daher werden bei Sicherheitssteuerun- 
gen extrem hohe Anforderungen an die eigene Fehlersicherheit gestellt, was einen erheblichen Aufwand bei der Ent- 

30 wicklung und Herstellung zur Folge hat. In der Regel benotigen Sicherheitssteuerungen vor ihrer Verwendung eine be- 
soridere Zulassung durch zustandige Aufsichtsbeh6rden, wie beispielsweise in Deutschland durch die Berufsgenossen- 
schaften oder den TOV. Die Sicherheitssteuerung muB dabei vorgegebene Sicherheitsstandards einhalten, die beispiels- 
weise in der europaischen Norm EN 954-1 niedergelegt sind. Im folgjenden wird daher unter einer Sicherheitssteuerung 
ein Gerat bzw. eine Vorrichtung verstanden, die zumindest die Sicherheitskategorie 3 der genannten europaischen Norm 

35 erfullt. 

[0006] Eine programmierbare Sicherheitssteuerung bietet dem Anwender die Moglichkeit, die logischen ^rknupfun- 
gen und gegebenenfalls weiteren Signal- oder Datenverarbeitungsschritte mit Hilfe einer Software, dem sogenannten 
Anwenderprogramm, seinen Bedurfnissen entsprechend individuell festzulegen. Daraus resultiert eine groBe Rexibilitat 
im Vergleich zu fruheren Lpsungen, bei denen die logischen Verknupfungen durch eine definierte Verdrahtibg zwischen 

40 verschiedenen Sicherheitsbausteinen erzeugt wurden. Ein Problem bei der Programmierung einer Sicherheitssteuerung 
besteht jedoch darin, daB das zu erstellende Anwenderprogramm selbst ein sicherheitskritisches Element ist, da ein Feh- 
ler in dem Anwenderprogramm eine unkontrollierte Situation und damit einen gefahrlichen Zustand bei der uberwachten 
Maschine oder Anlage hervorrufen kann. Hinzu kommt, daB das Anwenderprogramm bei der Oberwachung einer groBen 
Maschinenanlage mit vielen Sicheiiieitseinrichtungen sehr komplex und unubersichtlich werden kann, was die Gewahr- 

45 leistung der erforderlichen Fehlersicherheit erheblich erschwert. Dabei konnen folgenschwere Fehler in dem Anwender- 
programm nicht nur durch menschliches Versagen bei der Programmierung, sondern auch durch nicht-fehlersichere Pro- 
grammierhilfsmittel verursacht werden. Wenn beispielsweise das Anwenderprogramm fur die Sicherheitssteuerung mit 
Hilfe eines nicht-fehlersicheren, fiandelsublichen Personal Computers (PC) erstellt wird, konnten Speicherfehler des PC 
unbemerkt zu einer folgenschweren Verfalschung des Anwenderprogramms fuhren. 

50 [0007] In der eingangs genannten WO 98/44399 ist ein Verfahren beschrieben, wie mit einem handelsublichen PC ein 
sicherheitsgerichtetes Steuerungssystem, d. h. eine Sicherheitssteuerung, programmiert werden kann. Dazu sind in der 
Sicherheitssteuerung funktionsspezifische Programmodule in Form von sogenannten Software-Makros abgelegt. Zur Er- 
stellung des Anwenderprogramms erzeugt der Anwender mit Hilfe des PCs Programmodul-Funktionsaufrufe, die an- 
schlieBend an die Sicherheitssteuerung ubertragen werden. Mit Hilfe der Programmodul-Funktionsaufrufe werden die 

55 benotigten Programmodule in der Sicherheitssteuerung aufgerufen und zu dem eigentlichen Anwenderprogramm zu- 
sammengestellt. Das Programmiergerat, d. h. der PC, dient ledighch dazu, die benotigten Programmodule auszuwahlen 
und zusammenzustellen: Die Programmodule selbst konnen so nicht verandert werden, und somit kann der PC auch kei- 
nen EinfluB darauf ausuben. 

[0008] Das bekannte Verfahren vereinfacht die Programmierung einer Sicherheitssteuerung. Zudem wird eine gewisse 
60 Sicherheit zusatzlich dadurch erreicht, daB die an die Sicherheitssteuerung ubertragenen Programmodul-Funktionsauf- 
rufe in das Programmiergerat zuriickgelesen werden und dort vom Anwender riickbestatigt werden mussen. Das be- 
kannte Verfahren ist jedoch im HinbUck auf die Fehlersicherheit beim Erstellen eines A.nwenderprogramms noch nicht 
optimal. 

[0009] Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung der eingangs genann- 
65 ten Art weiterzubilden, um eine noch hohere Fehlersicherheit beim Programmieren der Sicherheitssteuerung zu errei- 
chen. 

[0010] Diese Aufgabe wird bei dem eingangs genannten Verfahren dadurch gelost, daB jedes ausgewahlte Programm- 
modul eindeutig einer defirlierten Funktionsgruppe zugeordnet wird, wobei eine erste Funktionsgruppe Programmodule 
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enthalt, die Eingangssignale der Sicherheitssteuerung aufnehmen und in Abhangigkeit davon erste ZwischengroBen be- 
reitstellen, wobei eine zweite Funktionsgruppe Programmodule enthalt, die die ersten ZwischengroBen logisch mitein- 
ander verknupfen und in Abhangigkeit davon zweite ZwischengroBen bereitstellen, und wobei eine dritte Funktions- 
gruppe Programmodule enthalt, die die zweiten ZwischengroBen den Ausgangssignaleh der Sicherheitssteuerung zuord- 
nen. . ... 5 

[0011] Die Aufgabe wirti bei einer Vorrichtung der eingangs genannten Art dadurch geldst, daB weitere Mittel vorhan- 
den sind, die ein ausgewahltes Programmodul eindeutig einer entsprechend definierten Funktionsgruppe zuordnen. 
[0012]. Die hiernach zwingende Zuordnung eines ausgewahlten Programmoduls zu einer der definierten Fiinktions- 
gruppen bewirkt eine sehr ubersichtliche und strukturierte Progranunieruhg der Sicherheitssteuerung. Dies hat zur Folge,' 
daB Fehlermoglichkeiten beim Programmieren reduziert werden. Bei einer unstrukturierten Programmierung ist es bei- 10 
spielsweise moglich, daB unerkannte Ruckwirkungen zwischen verschiedenen leilen des erzeugten Anwenderpro- 
gramms gebildet werden. Solche Ruckwirkungen konnen zu Laufzeitproblemen oder sogar zu "Schwingungen" fuhren, 
die einen instabilen und gefahrlichen Zustand zur Folge haben. Diese Fehlerquellen werden durch die hier vorgeschia- 
gene, erzwungene Strukturierung beim Prograrnmieren erheblich reduziert, wenn nicht gar vollstandig vermieden; Des 
weiteren vereinfacht sich aufgrund der ubersichtlichen und einheitlichen Struktur auch eine Plausibilitatsprufurig des er- is 
stellten Anwenderprogramms. Bspw. ist nunmehr leichter und damit auch zuverlassiger zu uberpriifen, ob ein Pro- 
grammodul aus der ersten Funktionsgruppe nur liber eine eindeutige ZwischengroBe einem Logikmodul aus der zweiten 
Funktionsgruppe zugewiesen ist. 

[0013] Daruber hinaus laBt sich ein erfindungsgemaB strukturiertes Programm leichter warten, d. h. nachtraglich ver- 
andem oder erweitern, wodurch Fehlerquellen auch bei derartigen Tatigkeiten reduziert sind. Femer fuhrt die vorgege- 20 
bene Struktur auch beim Programmieren selbst zu einer groBeren Obersichtlichkeit, wodurch die Gefahr menschlicher 
Fehler, wie beispielsweise das Vergessen einzelner erforderlicher Verknupfungen, ebenfalls reduziert wird. 
[0014] Das Programmieren. wird durch die Aufgliederurig in die definierten Funktionsgruppen insgesamt ubersichtli- 
cher und damit sogar auch komfortabler. Gleichzeitig kann ein groBer Vorteil des bekannten Verfahrens, daB namlich der 
Programmierer beim Erstellen des Anwenderorogramms nur noch auf vorgefertigte Programmodule zuruckgreift, in vol- 25 
lem Umfang beibehalten werden. Das Anwenderprogramm wird dabei ausschlieBlich aus aberpriiften, fehlersicheren 
Prograrnmodulen zusammengestellt, was Fehlerquellen ebenfalls reduziert 

[0015] In einer bevorzugten Ausgestaltung der Hrfihdung wird jedes Programmodul genau einer von insgesamt drei 
definierten Funktionsgruppen zugeordnet. 

[0016] In dieser Ausgestaltung ist die Struktur beim Programmieren in exakt drei Ebenen aufgeteilt Dies entspricht 30 
der naturlichen Grundstruktur der zu erstellenden Anwenderprogramme, bei denen zunachst Eingangssignale aufgenom- 
men werden (erste Ebene), anschlieBend die aufgenommenen Signale verarbeitet werden (zweite Ebene) und schlieBlich 
die Verarbeitungsergebnisse nach auBen abgegeben werden, urn Aktionen auszulosen (dritte Ebene). In dieser Ausgestal- 
tung ist die Prograrrimierstruktur daher optimal an die Gegebenheiten angepaBt und daher besonders einfach und uber- 
sichtlich. Die Gefahr von Fehlera beim Programmieren ist daher noch weiter reduziert 35 
[0017] In einer weiteren Ausgestaltung der Erfindung wertet jedes Programmodul der ersten Funktionsgruppe eine de- 
fihierte Signalquelle fehlersicher aus. 

[0018] Definierte Signalquellen in diesem Sinne sind beispielsweise Not-Aus-Taster, Schutzturen und jegliche anderen 
Sensoren, die sicherheitsrelevante Signale liefern. Die Programmodule der ersten Funktionsgruppe werten diese Senso- 
ren eigenstandig aus und liefern daher als erste ZwischengroBe eine fehlersichere Information daruber, in welchem Zu- 40 
stand sich der entsprechende Sensor befindet Die MaBnahme besitzt den \forteil, daB die erste ZwischengroBe eine "phy- 
sikalische" Bedeutung besitzt, die fur den Programmierer des Anwenderprogramms sehr gut nachvollziehbar ist Daher 
wird die Struktur beim Programmieren besonders anschaulich, wodurch Fehlerquellen weiter verringert sind. 
[0019] In einer weiteren Ausgestaltung der Erfindung wird beim Auswahlen eines jederi Programmoduls ein Pro- 
grammodul-Funktionsaufruf generiert und in einer Ablauftabelle abgespeichert. 45 
[0020] Diese Ausgestaltung der Erfindung ermoglicht es, vorbereitete und zertifizierte Programmodule stationar in der 
Sicherheitssteuerung abzulegen. Das vom Programmierer mit Hilfe seines Programmiergerates erstellte Anwenderpro- 
gramm kann sich dann auf eine Aneinanderreihung von Programmodul-Funktionsaufrufen beschranken. Ein solches An- 
wenderprogramm benotigt vergleichsweise wenig Speicherplatz und kann somit einfach und schnell an die Sicherheits- 
steuerung ubertragen werden. Es kann auch leichter uberpriift werden. Zudem sind die Programmodule als wesentliche 50 
sicherheitskritische Elemente dem Zugriff des Programmierers entzogen. Insgesamt wird hierdurch sowohl der Komfort 
als auch die Fehlersicherheit beim Prograrnmieren weiter verbessert 

[0021] In einer weiteren Ausgestaltung der zuvor genannten MaBnahme werden die Programmodul-Funktionsaufrufe 
nach den Funktionsgruppen getrennt in der Ablauftabelle gespeichert 

[0022] Diese MaBnahme besitzt den Vorteil> daB sich die erfindungsgemaBe Struktur nicht nur beim Programmieren 55 
selbst, sondern auch in dem dabei erzeugten Anwenderprogramm niederschlagt Irifolge dessen beinhaltet das erzeugte - 
Anwendeiprogramm selbst weniger Fehlerquellen, wodurch die Fehlersicherheit weiter verbessert ist. 
[0023] In einer weiteren Ausgestaltung der zuvor genannten MaBnahme werden die ProgrammcKlul-Funktionsaufrufe 
in der Reihenfolge der Funktionsgruppen abgespeichert. 

[0024] In dieser Ausgestaltung werden somit zunachst samtliche Programmodul-Funktionsaurrufe der ersten Funkti- 60 
onsgruppe, anschlieBend die der zweiten und zuletzt die der dritten Funktionsgruppe abgespeichert. Die MaBnahme be- 
sitzt den Vorteil, daB die Reihenfolge der Programmodul-Funktionsaufrufe bereits bei der Erstellung des Anwenderpro- 
gramms einen optimalen zeitlichen Ablauf implementiert, der die Fehlersicherheit weiter erhoht 

[0025] In einer weiteren Ausgestaltung der Erfindung werden die Programmodule mittels graphischer Symbole auf ei- 
ner graphischen Benutzeroberflache dargestellt 65 
[0026] Aufgrund dieser MaBnahme ist es moglich, den eigentlicheri Vorgang des Programmierens besonders anschau- 
lich und ubersichtlich zu gestalten, wodurch Fehlerquellen aufgrund menschlichen Versagens oder Fluchtigkeit erheblich 
reduziert werden. Die Fehlersicherheit wird nochmals erheblich gesteigert 
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[0027] In einer weiteren Ausgestalturig der zuvor genannten MaBnahme werden die Programmodule mittels einer Drag 
& Drop-Furiktion ausgewahlt 

[0028] Eine Drag & Drop-Funktion ist an sich bereits yon graphischen Benutzeroberflachen handelsiiblicher PCs be- 
kannt. Hierbei wird ein Element mit einem Eingabegerai, beispielsweise mit Hilfe einer sogenannten Maus, markiert und 
5 sodann mit Hilfe des Eingabegerates an eine gewUnschte Stelle verschoben oder kopiert. Eine solche Art der Aus wahl ist 
fiir den Programmierer sehr einfach und komfortabel. Infolgedessen sind Fehlbedienungen und sich daraus ergebende 
Fehlerquellen beim Programmieren weiter erheblich reduziert. 

[0029] In einer weiteren Ausgestaltung der Erfindung werden auch die Funktionsgruppen mittels graphischer Sy mbole 
auf einer graphischen Benutzeroberflache dargestellt 
10 [0030] Auch mit dieser MaBnahme wird die Anschaulichkeit und Obersichtlichkeit beim Programmieren erheblich 
yerbessert, da dem Programmierer die erfindungsgemaBe Struktur unmittelbar visualisiert wird. Die Gefahr von Fehlern 
ist aufgrund der damit unmittelbar moglichen optischen Kontrolle weiter reduziert 

[0031] In einer weiteren Ausgestaltung des erfindungsgemaBen Verfahrens wird die Darstellung eines ausgewahlten 
Frogrammoduis auf der Benutzeroberflache aus einem abgespeicherten, zugehdrigen Programmodul-Funktionsaufruf 
15 generiert Die entsprechende erfindungsgemaBe Vorrichtung weist daher einen Speicher zum Abspeichern eines Pro- 
grammodul-Funktionsaufrufs in Abhangigkeit von einem ausgewahlten Programmodul sowie eine Anzeigeeinheit auf, 
die in Abhangigkeit von dem abgespeicherten Programmodul-Funktionsaufruf eine Darstellung des ausgewahlten Pro- 
grammoduls generiert 

[0032] In dieser Ausgestaltung der Erfindung wird ein ausgewahltes Programrriodul auf der Benutzeroberflache erst 
20 nach einem Umweg visualisiert. Zunachst wird der zugehorige Progranimodul-Funktionsaufruf abgespeichert, und zwar 
in dem Format, in dem er spacer der Sicherheitssteuerung zugefiihrt wird. Erst anschlieBend wird die Darstellung des aus- 
gewahlten Programmoduls aus dem abgespeicherten Programmodul-Funktionsaufruf generiert. Der Programmierer er- 
halt daher stets eine Visualisierung der tatsachlich abgespeicherten Programmodul-Funktionsaufrufe und kann somit un- 
mittelbar erkennen, ob die Abspeicherung mit seiner \fcrgabe ubereinstimmt Die Kontrolle der abgespeicherten Pro- 
25 grammodul-Fimktionsaufrufe erfolgt hier somit direkt bei der Auswahl, wodurch Fehler beim Programmieren nochmals 
erheblich reduziert sind. Zudem konnen weitere Kontrollen der abgespeicherten Programmodul-Funktionsaufrufe entfal- 
len, wodurch die Programmierung bei einer hohen Fehlersicherheit insgesamt sehr einfach und komfortabel moglich ist 
[0033] Dariiber hinaus besitzt die MaBnahme den \brteil, daB der Programmierer das erstellte Anwenderprogramm 
sehr einfach graphisch dokumentieren kann. Daher ist die spatere Pflege des Anwenderprogramms sehr einfacher und 
30 fehlersicher moglich. 

[0034] Es versteht sich, daB die vorstehend genannten und die nachstehend noch zu erlauternden Merkmale nicht nur in 
der jeweils angegebenen Kombination, sondem auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, 
ohne den Rahmen der vorliegenden Erfindung zu verlassen. 

[0035] Ausfuhrungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Be- 
35 schreibung naher erlautert Es zeigen: 

[0036] Fig. 1 eine schematische Darstellung einer erfindungsgemaBen Vorrichtung in Verbindung mit einer zu pro- 
gramrnierenden Sicherheitssteuerung und 

[0037] Fig. 2 eine vereinfachte Darstellung einer graphischen Benutzeroberflache zum Programmieren einer Sicher- 
heitssteuerung. 

40 [0038] In Fig. 1 ist eine erfindungsgemaBe Vorrichtung in ihrer Gesamtheit mit der Bezugsziffer 10 bezeichnet 

[0039] Die Vorrichtung 10 beinhaltet einen herkommlichen PC 12 mit einem Monitor 14, auf dem ein Computerpro- 
gramm 16 ausgefuhrt wird. Das Computerprogramm 16 ermoglicht die Erstellung eines Anwenderprogramms fur eine 
Sicherheitssteuerung Es wird in der Fachterminologie daher haufig auch als Prograrnrniertool bezeichnet 
[0040] Die zu programmierende Sicherheitssteuerung ist in Fig. 1 mit der Bezugsziffer 18 bezeichnet Sie ist zweika- 

45 nalig-redundant aufgebaut, um die erforderliche Fehlersicherheit zum Steuem sicherheitskritischer Prozesse zu errei- 
chen. S tellvertretend fiir den zweikanaligen Aufbau sind in Fig. 1 zwei voneinander getrennte Prozessoren 20, 22 darge- 
stellt, die uber eine bidirektionale Kommunikationsschnittstelle24 miteinander in Verbindung stehen, um sich gegensei- 
tig kontrollieren und Daten austauschen zu konnen. Bevorzugt sind die beiden Kanale der Sicherheitssteuerung 18 und 
die beiden Prozessoren 20, 22 diversitar, d. h. verschieden voneinander aufgebaut, um systematische Fehler weitgehend 

50 auszuschlieBen. 

[0041] Mit der Bezugsziffer 26 ist eine Ein-/Ausgabeeinheit bezeichnet, die mit jedem der beiden Prozessoren 20, 22 in 
Verbindung steht. Die Ein-/Ausgabeeinheit nimmt Eingangssignale 28 von externen Sensoren 30 auf und leitet diese in 
einem angepaBten Datenformat an jeden der beiden Prozessoren 20, 22 weiter. Ferner erzeugt die Ein-/Ausgabeeinheit in 
Abhangigkeit von den Prozessoren 20, 22 Ausgangssignale 32, mit denen Aktuatoren 34 angesteuert werden. Bei den 
55 Sensoren 30 handelt es sich beispielsweise um Not-Aus-Taster, Zwei-Hand-Steuerungen, Schutzturen, DrehzahlUberwa- 
chungsgerate oder andere Sensoren zur Aufhahme sicherheitsrelevanter Parameter. Die Aktuatoren 34 sind beispiels- 
weise sogenannte Schutze, mit denen die Stromversorgung eines Antriebes oder einer kompletten Maschine abgeschaltet 
werden kann. 

[0042] Mit der Bezugsziffer 36 ist eine Chipkarte bezeichnet, auf der ein Anwenderprogramm 38 abgespeichert wird/ 
60 Das Anwenderprogramm 38 wird mit Hilfe der Vorrichtung 10 erstellt, und es legt die von der Sicherheitssteuerung 18 
durchzufuhrenden Steuerungsaufgaben fest Die Verwendung einer Chipkarte 36 als Speichermedium ermoglicht dabei 
einen einfachen Austausch des Anwenderprogramms 38 auch ohne direkten AnschluB an die Vorrichtung 10. Altemativ 
hierzu kann das Anwenderprogramm 38 auch in einem fest in der Sicherheitssteuerung 18 eirigebauten Speicher, bei- 
spielsweise einem EEPROM, abgespeichert sein. 
65 [0043] Das Computerprogramm 16 stellt auf dem Monitor 14 des PCs 12 eine nachfolgend naher erlauterte Benutzer- 
oberflache bereit. Die Benutzeroberflache ermoglicht einem Programmierer die Auswahl und Parametrierung vordefi- 
nierter funktiorisspezifischer I^ogrammodule, die ihrerseits fest in der Sicherheitssteuerung 18 abgespeichert sind. Der 
Programmierer kann die einzelnen Programmodule jedoch nur auswahlen und miteinander koinbinieren, er kann sie 
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nicht selbst verandem. v 
[0044] Die Auswahl und Parametrierung der vordefinierten Programmodule ist in Fig. 1 duich einen Funktionsblock 
40 symbolisiert Nachdem der Programmierer ein gewiinschtes Programmodul ausgewahlt und gegebenenf alls parame- 
triert hat, wild dieses in einem Speicher 42 des PCs abgespeichert, und zwar ini Format der Sicherheitssteuerung 18. "Tm 
Format der Sicherheitssteuerung" bedeutet dabei, daB ein I^granmiodul-Funktionsaurruf generiert und abgespeichert 5 
wird, der in dieser Form spater auch der Chipkarte 36 zugefUbrt wird. Der abgespeicherte I^ogrammodul-Funktionsauf- 
ruf stellt einen Programmbefehl im Anwenderprogramm 38 dar. 

[0045] GemaB dem hier dargestellten Ausfuhrungsbeispiel erzeugt das Computerprogramm 16 mit Hilfe des Funk- 
tionsblocks 44 aus dem abgespeicherten Programmodul-Funktions aufruf eine symbolische Darstellung des entsprechen- 
den, zugehorigen Programmoduls auf der Benutzeroberflache des PCs 12. Fur den Programmierer bedeutet dies, daB er 10 
in der nachfolgend naher erlauterten Art und Weise ein Programmodul auswahlt, und allein aus der Tats ache, daB ihm die 
gewiinschte Auswahl visualisiert wird, folgt, daB der richtige zugehorige Programmodul-Funktionsaurruf in dem Spei- 
cher 42 abgespeichert wurde. 

[0046] Wenn der Programmierer samtliche fur sein Anwenderprogramm benotigten Programmodule ausgewahlt und 
gegebenenfalls parametriert hat, liegt das vollstandige Anwenderprogramm in dem Speicher 42. Bevorzugt wird es doit 15 
, zusatzlich mit einer CRC (Cyclic Redundancy Check) abgesichert. \bn dem Speicher 42 aus kann das Anwenderpro- 
gramm dann mit dem Funktionsblock 46 in an sich bekannter Weise auf die Chipkarte 36 ubertragen werden. Durch die 
Absicherung mit der CRC wird dabei sichergestellt, daB das auf der Chipkarte 36 abgespeicherte Anwenderprogramm 
exakt mit dem zuvor generierten und im Speicher 42 abgelegten Anwenderprogramm ubereinstimmt. 

[0047] Die Chipkarte 36 kann bei der tTbertragung in der Sicherheitssteuerung 18 eingesteckt sein, was eine entspre- 20 
chende Kommunikationsverbindung zwischen dem PC 12 und der Sicherheitssteuerung 18 erfordert Alternativ kann die 
Chipkarte 36 auch iiber ein an sich bekanntes Ladegerat (hier nicht dargestellt) mit dem Anwenderprogramm 38 be- 
schrieben werden. Die Sicherheitssteuerung 18 wird dann durch einfaches Einstecken der beschriebehen Chipkarte 36 
mit dem Anwenderprogramm 38 versorgt. * . - • 

[0048] GemaB einem weiteren bevorzugten Ausfuhrungsbeispiel der Erfindung arbeiten die beiden Prozessoren 20, 22 25 
das Anwenderprogramm 38 diversitar ab. Dies kann beispielsweise mit Hilfe an sich funktionsgleicher, jedoch unter- 
schiedlicher Programmodule geschehen, die durch einen einheitlichen Programmcclul-Funktionsaufruf aktiviert werden. 
Ein Vergleich der jeweiligen Ergebnisse zwischen den beiden Prozessoren 20, 22 ermoglicht dann eine fehlersichere 
tJberprufung des Anwendejprogramms 38. Auf diese Weise ist es moglich, ein Anwenderprogramm 38 fehlersicher ge- 
stalten, ohne samtliche denkbaren Kombihationen der zur Vertugung stehenden Programmodule einzeln zu uberprufen. 30 
[0049] In Fig. 2 ist eine graphische Benutzeroberflache, die das Computerprogramm 16 dem Programmierer auf dem 
Monitor 14 bereitstellt, in ihrer Gesamtheit mit der BezugszifTer 50 bezeichneL 

[0050] Die Benutzeroberflache 50 beinhaltet ein i^ogrammierfeld 52, das gemaB dem hier dargestellten, bevorzugten 
Ausfuhrungsbeispiel der Erfindung graphisch in drei getrennte Funktionsgruppen 54, 56, 58 gegliedert ist. AuBerhalb des 
Prpgrammierfeldes 52 ist eine Menge 60 auswahlbarer Programmodule 62, 64, 66, 68, 70, 72 in Form von graphischeh 35 
Symbolen dargestellt. Die Auswahl eines dieser Programmodule erfolgt, indem man das entsprechende Symbol mit Hilfe 
einer Drag & Drop-Funktion in die dafur vorgesehene Funktionsgruppe des Programmierfeldes 52 bewegt, wie dies an- 
hand eines Pfeils 74 beispielhaft dargestellt ist Auf diese Weise ausgewahlte Programmodule sind beispielhaft mit den 
Bezugsziffern 76, 78, 80 bezeichneL 

[0051] Die zur Auswahl stehenden Programmodule 62-72 lassen sich grob in drei verschiedene Typen einteilen, die 40 
den drei definierten Funktionsgruppen 54, 56, 58 entsprechen. Die Funktionsgruppe 54 nimmt Programmodule 62-68 
auf, die jeweils eine definierte Signalquelle, d. h. einen definierten Sensor 30, eigenstandig fehlersicher auswerten. Die 
Programmodule 62-68 werden dementsprechend auch als Sensor-Module bezeichnet. Jedes Sensor-Modul 62-68 ist an 
einen bestimmten Sensortyp angepaBt, wie beispielsweise an einen Not-Aus-Taster, eine Schutztur oder eine Zwei- 
Hand-Steuerung. Bei dem Sensor-Modul 62 handeit es sich beispielsweise urn ein Programmodul zur fehlersicheren 45 
Auswertung einer Signalquelle mit zwei redundanten SchlieBerkontakten und mit uberwachtem Start Sensor-Modul 64 
dient beispielsweise zur fehlersicheren Auswertung einer Signalquelle mit einem SchlieBer- und einem Offnerkontakt 
sowie mit nicht- uberwachtem Start. Sensor-Modul 66 dient beispielsweise zur Auswertung einer Signalquelle mit nur ei- 
nem Ofrnerkontakt Weitere Sensor-Module 68 dienen zur Auswertung von Signalquellen mit Halbleiterausgangen, wie 
beispielsweise Iichtschranken. Insgesamt beinhaltet die Menge 60 Sensor-Module fur alle in Betracht kommenden Sen- 50 
soren 30. 

[0052] Die Sensor-Module 62-68, die der ersten Funktionsgruppe 54 zugeordnet werden konnen, erhalten als Ein- 
gangsparameter die Eingangssignale 28 der Sensoren 30. Als Obergabeparameter stellen sie erste ZwischengroBen be- 
reit, die in der Fachterminologie als Merker bezeichnet werden. In der beispielhafteri Darstellung in Fig* 2 sind als erste 
ZwischengroBen die Merker Ml, M2 und M3 an den Ausgangen von insgesamt drei ausgewahlten Sensor-Modulen dar- 55 
gestellt. . 

[0053] Die Funktionsgruppe 56 dient ausschlieBlich zur Aufnahme von Programmodulen, die die ersten Zwischengro- 
Ben logisch miteinander verknupfen und in Abhangigkeit davon zweite ZwischengroBen bereitstellen. In der Darstellung 
in Fig. 2 werden beispielsweise die beiden Merker Ml und M2 mit einem logischeh UND verknuft Die Merker M2 und 
M3 werden mit einem logischeh ODER verknupft An den Ausgangen der entsprechenden Programmodule stehen dann 60 
die zweiten ZwischengroBen M4 und M5 bereit ■ 

[0054] Zusatzlich zu deh hier gezeigten Logik-Modulen dient die zweite Funktionsgruppe 56 auch zur Aufnahme von 
anderen Programmodulen, die die ersten ZwischengroBen zu zweiten ZwischengroBen weiterverarbeiten, wie beispiels- 
weise Negationen Oder Zeitverzogerungen. 

[0055] Die dritte Funktionsgruppe 58 dient zur Aufnahme von sogenarinten Akmator-Modulen, d. h. soichen Pro- 65 
grammodulen, die aus den zweiten ZwischengroBen Ausgangssignale zur Ansteuerung der Aktuatoren 34 erzeugen. In 
Fig. 2 dient das Aktuator-Modul 80 beispielsweise zur Ansteuerung zweier redundanter Schutze, mit denen die Strom- 
versorgung eines uberwachten Antriebes zweikanalig und damit fehlersicher abgeschaltet werden kann. 
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[0056] Die Erstellung des Anwenderprogramms 38 fur die Sicherheitssteuerung 18 erfolgt durch Auswahl urid Ver- 
kniipfung der gewiinschten Prograinmodule 62-72. Mit dem AuswShlen eines gewiinschten Programmoduls erzeugt das 
Computerprogramm 16 einen entsprechend zugehorigen Programmodul-Funktionsaufruf , der in einer sogenannten Ab- 
lauftabelle in dem Speicher 42 abgespeichert wird. Fiir den in Fig. 2 beispielhaft dargestellten Programmiervorgang er- 
gibt sich dabei folgende Ablauftabelle: - 



Zeile 


Modul-Typ 


Ausgang 1 


Ausgang 2 


Eingang 1 


Eingang 2 


Eingang 3 


1 


Sensortyp 1 


Ml 




E 1.1 


E 1 . 2 


Start 1 


2 


Sensortyp 2 


M2 




E 2.1 


E 2.2 


Start 2 


3 


Sensortyp 3 


M3 




E 3.1 






4 


UND 


M4 




Ml 


M2 




5 


ODER 


M5 




M2 


M3 




6 


Aktuatortyp 1 


A 4.0 


A 4.1 


M4 








Aktuatortyp 2 


A 4.2 




M5 







[0057] In der Spalte "Modul-Typ" erscheint der jeweilige Programmodul-Funkuonsaufruf, und zwar in einer Codie- 
rung, die von der Sicherheitssteuerung 18 gelesen werden kann. In den nachfolgenden Spalten sind die ttbergabepara- 
meter genannt, die das entsprechend aufgerufene Programmodul erhalt bzw. zuriickgibt. 

[0058] GemaB einem besonders bevorzugten Ausfuhrungsbeispiel der Erfindung ordnet das Computerprogramm 16 
die einzelnen Programmodul-Funktionsaufrufe in der Ablauftabelle in chronologischer Reihenfolge, d h. in der Reiheh- 
folge der drei Funktionsgruppen 54, 56, 58 an. Damit wird die Struktur, die sich aufgrund der graphischen Benutzerober- 
flache 5Q bereits beim Programmieren ergibt, in dem letztlich erzeiigten und verwendeten Anwenderprogramm 38 fort- 
gesetzt. Es entsteht somit ein klar gegliedertes und strukturiertes Anwenderprogramm 38. 

[0059] In bevorzugten Ausftihrungsbeispielen der Erfindung wird das Anwenderprogramm. 38 beim Obertragen vom 
Speicher 42 auf die Chipkarte 36 stets mit einer CRC abgesichert. Auf diese Weise kann eine Verfalschung des Anwen- 
derprogramms beim tJbertragen auf die Chipkarte 36 zuverlassig erkannt und gegebenenfalls verhindert werden. 

Patentanspriiche 

1 . Verfahren zum Programmieren einer Sicherheitssteuerung (18), mit den Schritten: 

- Festlegen von logischen Verknupfungen zwischen Eingangssignalen (28) der Sicherheitssteuerung (18) und 

- Zuordnen von Verknupfungsprodukten (M4, M5) zu Ausgangssignalen (32) der Sicherheitssteuerung (18), 
wobei das Festlegen der Verknupfungen und das Zuordnen anhand vordefinierter funktionsspezifischer Programm- 
module (62-72, 76-80) erfolgt, die aus einer Menge (60) derartiger Programmodule ausgewahlt werden, dadurch 
gekennzeichnet, da6 jedes ausgewahlte Programmodul (76, 78, 80) eindeutig einer definierten Funktionsgruppe 
(54, 56, 58) zugeordnet wird, wobei eine erste Funktionsgruppe (54) Programmodule (76) enthalt, die Eingangssi- 
gnale (28) der Sicherheitssteuerung (18) aufhehmen und in Abhangigkeit davon erste ZwischengroBen (Ml, M2, 
M3) bereitsteUen, wobei eine zweite Funktionsgruppe (56) Programmodule (78) enthalt, die die ersten Zwischen- 
groBen (Ml, M2, M3) logisch.miteinander verknupfen und in Abhangigkeit davon zweite ZwischengroBen (M4, 
M5) bereitsteUen, und wobei eine dritte Funktionsgruppe (58) Programmodule (80) enthalt, die die zweiten Zwi- 
schengr6Ben (M4, M5) den Ausgangssignalen (32) der Sicherheitssteuerung (18) zuordnen. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB jedes Programmodul (62-72, 76-80) genau einer von 
insgesamt drei definierten Funktionsgruppen (54, 56, 58) zugeordnet wird. 

3 . Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daB jedes Programmbdul (76) der ersten Funktions- 
gruppe (54) eine definierte Signalqueile (30) fehlersicher auswertet. 

4. Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, daB beim Auswahlen eines jeden Pro- 
grammoduls (62-72, 76-80) ein Programmodul-Funktionsaurruf generiert und in einer Ablauftabelle abgespeichert 
wird. 

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daB die Programmodul-Funktionsaufrufe nach den Funk- 
tionsgruppen (54, 56, 58) getrennt in der Ablauftabelle abgespeichert werden. 

6; Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, daB die Programmc>dul-Funl^onsaufrufe in der 
Reihenfolge der Funktionsgruppen (54, 56, 58) abgespeichert werden. 

7. Verfahren nach einem der Anspruche 1 bis 6» dadurch gekennzeichnet, daB die Programmodule (62-72, 76-80) 
mittels graphischer Symbole auf einer graphischen Benutzeroberfl ache (50) dargestellt werden. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daB die Programmodule (62-72, 76-80) mittels einer Drag 
& Drop-Funktion (74) ausgewahlt werden. 

9. Verfahren nach einem der Anspruche 1 bis 8, dadurch gekennzeichnet, daB die Funktionsgruppen (54, 56, 58) 
mittels graphischer Symbole auf einer graphischen Benutzeroberflache (50) dargestellt werden. 

10. Verfahren nach einem der Anspruche 7 bis 9, dadurch gekennzeichnet, daB die Darstellung eines ausgewahlten 
Programmoduls (76, 78, 80) auf der Benutzeroberflache (50) aus einem abgespeicherten, zugehorigen Programm- 
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modui-Funktionsaufruf generiert wird. 

11. Vorrichtung zum Programmieren einer Sicherheitssteuerung (18), mit ersten Mitteln (12, 14, 16) zum Auswah- 
len und Parametrieren vordefinierter funktionsspezifischer Programmodule (62-72, 76-80), mit deren Hilfe logi- 
sche Verknupfungen zwischen Eingangssignalen (28) der Sicherheitssteuerung (18) festgelegt und Verknupfungs- 
produkte (M4, M5) zu Ausgangssignalen (32) der Sicherheitssteuerung (18) zugeordnet werden konnen, dadurch 5 
gekennzeichnet, daB weitere Mittel (52) vorhanden sind, die ein ausgewahltes I*rogrammodul (76, 78, 80) eindeutig 
einer definierten Funktionsgruppe (54, 56, 58) zuordnen, wobei eine erste Funktionsgriippe (54) Programmodule 
(76) enthalt, die Eingangssignale (28) der Sicherheitssteuerung (18) aufnehmen und in Abhangigkeit davon erste 
ZwischengroBen (Ml, M2, M3) bereitstellen, wobei eine zweite Funkdonsgruppe (56) Programmodule (78) enthalt, 

die die ersten ZwischengroBen (Ml, M2, M3) logisch miteinander verkniipfen und in Abhangigkeit davbn zweite 10 
ZwischengroBen (M4, M5) bereitstellen, und wobei eine dritte Funktionsgruppe (58) Programmodule (80) enthalt, 
die die zweiten ZwischengroBen (M4, M5) den Ausgangssignalen (32) der Sicherheitssteuerung (18) zuordnen. 

12. Vorrichtung nach Aiispruch 11, gekennzeichnet durch einen Speicher (42) zum Abspeichern eines Programm- 
modul-Funktiorisaufrufs in Abhangigkeit von einem ausgewahlten Programmodul (76, 78, 80) sowie eine Anzeige- 
einheit (14, 44), die in Abhangigkeit von dem abgespeicherten Programmodul-Funktionsaufruf eine Darstellung des 15 
ausgewahlten Programmoduls (76, 78, 80) generiert , 

13. Computejprojgramm mit Programmcodemitteln zum Durchfuhren eines Verfahrens nach einem der Anspriiche 
1 bis 1Q, wenn das Computerprogramm (16) auf einem Computer (12) ausgefuhrt wird. 

14. An wenderprogramm fur eine Sicherheitssteuerung (18), mit Befehlsfolgen, deren Abarbeitung in einer Prozes- 
soreinheit (20, 22) der Sicherheitssteuerung (18) eine logische Verkniipfung von Eingangssignalen (28) sowie eine 20 

- Zuordnung zu Ausgangssignalen (32) der Sicherheitssteuerung (18) bewirkt, dadurch gekennzeichnet, daB die Be- 
fehlsfolgen zumindest drei aufeinanderfolgende Funktionsgruppen (54, 56, 58) bilden, wobei eine erste Funktions- 
gruppe (54) Befehlsfolgen beinhaltet, die Eingangssignale (28) der Sicherheitssteuerung (18) aufnehmen und in Ab- 
hangigkeit davon erste ZwischengroBen (Ml, M2, M3) bereitstellen, wobei eine zweite Funktionsgruppe (56) Be- 
fehlsfolgen beinhaltet, die die ersten ZwischengroBen (Ml, M2, M3) logisch miteinander verkniipfen und in Abhan- 25 
gigkeit davon zweite ZwischengroBen (M4, M5) bereitstellen, und wobei eine dritte Funktionsgruppe (58) Befehls- 
folgen beinhaltet, die die zweiten ZwischengroBen (M4, M5) den Ausgangssignalen (32) der Sicherheitssteuerung 
(18) zuordnen. 

15. Computei^rogramrnprodukt mit einem Speichermedium (36), auf dem ein Computerprogramm (16) nach An- 
spruch 13 oder ein Anwehderprogramm (38) nach Anspruch 14 gespeichert ist. . 30 

Hierzu 2 Seite(n) Zeichnungen 



35 



45 



50 



55 



60 



65 



7 



Leerseite 



2EICHNUNGEN SEITE 1 



Nummer: 
IntCI. 7 : 

Offenlegungstag: 



DE 101 08962 A1 
G 05 B 19/043 

12. September 2002 




ZEICHNUNGEN SEITE 2 



Nummer: 
IntCI. 7 : 

Offenlegungstag; 



DE10108 962A1 
G05B 19/048 

12. September 2002 




/ 



LO 




CO 



.102 370/283 



